一、代碼及實現
(一)用戶空間源代碼
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <unistd.h>
#include <errno.h>
#include <sys/mman.h>
#define CALLOFF 100 //讀取100字節
struct {
unsigned short limit;
unsigned int base;
} __attribute__ ((packed)) idtr; //這個結構表示IDTR寄存器,這個寄存器中保存中斷描述符表 的地址
struct {
unsigned short off1;
unsigned short sel;
unsigned char none,flags;
unsigned short off2;
} __attribute__ ((packed)) idt; //中斷描述符表中的內容:中斷門描述符
unsigned int old_readkmem (int fd, void * buf,size_t off,unsigned int size) //用read方式讀取kmem中一定長度內容
{
if (lseek64(fd, (unsigned long long)off,SEEK_SET)!=off)
{
perror("fd lseek error");
return 0;
}
if (read(fd, buf,size)!=size)
{
perror("fd read error");
return 0;
}
}
unsigned long readkmem (int fd, void * buf, size_t off, unsigned int size)//用mmap方式從kmem中讀取一定長度內容
{
size_t moff, roff;
size_t sz = getpagesize();
char * kmap;
unsigned long ret_old = old_readkmem(fd, buf, off, size); //先用老方法讀取,不行再用mmap
if (ret_old != 0)
return ret_old;
moff = ((size_t)(off/sz)) * sz;
roff = off - moff;
kmap = mmap(0, size+sz, PROT_READ, MAP_PRIVATE, fd, moff);
if (kmap == MAP_FAILED)
{
perror("readkmem: mmap");
return 0;
}
memcpy (buf, &kmap[roff], size);
if (munmap(kmap, size) != 0)
{
perror("readkmem: munmap");
return 0;
}
return size;
}
int main (int argc, char **argv)
{
unsigned sys_call_off;
int kmem_fd; // /dev/kmem文件描述符
unsigned sct;
char sc_asm[CALLOFF],*p;
/* 獲得IDTR寄存器的值 */
asm ("sidt %0" : "=m" (idtr));
printf("idtr base at 0x%X\n",(int)idtr.base);
/* 打開kmem */
kmem_fd = open ("/dev/kmem",O_RDONLY);
if (kmem_fd<0)
{
perror("open");
return 1;
}
/* 從IDT讀出0x80向量 (syscall) */
readkmem (kmem_fd, &idt,idtr.base+8*0x80,sizeof(idt)); //idtr.base+8*0x80 表示80中斷描述符的偏移
sys_call_off = (idt.off2 << 16) | idt.off1; //idt.off2 表示地址的前16位,得到syscall地址
printf("idt80: flags=%X sel=%X off=%X\n", (unsigned)idt.flags,(unsigned)idt.sel,sys_call_off);
/* 尋找sys_call_table的地址 */
readkmem (kmem_fd, sc_asm,sys_call_off,CALLOFF);
p = (char*)memmem (sc_asm,CALLOFF,
"\xff\x14\x85",3); //只要找到鄰近int {GetProperty(Content)}x80入口點system_call的call sys_call_table(,eax,4)指令的機器指令就可以了,call something(,eax,4)指令的機器碼是0xff 0x14 0x85,因此搜索這個字符串。
sct = *(unsigned*)(p+3); //sys_call_table地址就在0xff 0x14 0x85之後
if (p)
{
printf ("sys_call_table at 0x%x, call dispatch at 0x%x\n", sct, p);
}
close(kmem_fd);
return 0;
}
(二)編譯及實踐
該程序就是用戶空間的普通應用程序,編譯之後執行即可。我這裡同時列出在虛擬機上和物理機上的執行結果,以作對比。
虛擬機上的執行結果如下:
idtr base at 0xFFC18000
fd read error: Success
readkmem: mmap: Input/output error
idt80: flags=0 sel=0 off=0
fd read error: Bad address
readkmem: mmap: Input/output error
Segmentation fault
物理機上的執行結果:
idtr base at 0xC1334000
idt80: flags=EF sel=60 off=C1003CC4
sys_call_table at 0xc124d4e0, call dispatch at 0xbfc2b330
可見,虛擬機環境中並沒有正確的獲取到系統調用表,而物理機上的程序則正確的執行了。為什麼虛擬機上執行有問題呢?我會在第二部分的分析總結中進行解釋。
二、總結
(一)實現原理
內核態獲取系統調用表的實現原理,請參看本人的博文《Linux下實現劫持系統調用的總結》。用戶態的實現原理,從本質上應該是和內核一致的。有區別的地方就在於,內核態可以直接訪問內核地址空間,而用戶態是不可以的。
因此,用戶態實現的時候就需要解決如何訪問內核地址空間的問題。我們同樣可以通過sidt指令獲取到中斷向量表的地址,然後通過讀取/dev/kmem來定位到該地址。對於文件/dev/kmem,可以通過直接read或者mmap的方式操作即可。接下來的工作就是一步一步的去定位到系統調用表的地址了。
(二)虛擬機環境的問題
我們上面談到在虛擬機執行該程序的時候出錯了,經查找,其原因見參考鏈接3,這裡列出其解釋:
在大多數的虛擬機中將無法順利的讀取IDTR。因為lidt指令是一個特權指令,將會產生一個異常,並被VM所捕獲。這樣可以使VM為每一個操作系統維持 一個虛擬的IDTR。因為sidt指令沒有被處理,它將會返回一個偽造的IDTR地址,通常會大於0xFFC00000。
我們在虛擬機執行這個程序返回的idtr的地址是0xFFC18000,正好印證了該解釋。
以上是對用戶空間獲取系統調用表地址的總結。如有遺漏不妥之處,請大家多多指教
